mirror of
https://gitlab.com/harald.mueller/aktuelle.kurse.git
synced 2024-10-20 02:05:05 +02:00
48 lines
3.0 KiB
HTML
48 lines
3.0 KiB
HTML
|
<html>
|
||
|
<head>
|
||
|
|
||
|
|
||
|
|
||
|
|
||
|
|
||
|
<title>PHP-Einfach.de - PHP Einführung - Sessions</title>
|
||
|
|
||
|
<meta name="Author" content="Andavos">
|
||
|
<meta name="Publisher" content="Andavos">
|
||
|
<meta name="Copyright" content="Andavos">
|
||
|
<meta name="Keywords" content="Clan, Aufbau, Webdesign, HTML, Einführung, PHP, Scripte, Erklärung, Bilder, Infos, Anleitung">
|
||
|
<meta name="Description" content="Auf Clanwissen.de.vu bekommen Sie erklärt, wie man eine Homepage erstellt. Außerdem bekommen Sie nützliche Tipps zum Webdesign. PHP wird auch erklärt und man kann gute Scripte herunterladen. ">
|
||
|
<meta name="Page-topic" content="Clan-Aufbau, Webdesign, PHP, Bilder">
|
||
|
<meta name="Audience" content="Alle">
|
||
|
<meta name="Content-language" content="DE">
|
||
|
<meta name="Page-type" content="Anleitung">
|
||
|
<meta name="Robots" content="INDEX,FOLLOW">
|
||
|
|
||
|
|
||
|
|
||
|
<link rel="stylesheet" href="css/main.css" tppabs="http://www.php-einfach.de/offline/css/main.css" type="text/css">
|
||
|
</head>
|
||
|
<body text="#000000" bgcolor="#F0F0F0" link="#303030" alink="#000000" vlink="#303030">
|
||
|
|
||
|
|
||
|
<h3>Session ID durch zufall erraten</h3>
|
||
|
<div class="tabelle">
|
||
|
Natürlich kann der Dieb auch eine Session ID erraten, allerdings ist dies sehr unwahrscheinlich. <br><br>
|
||
|
|
||
|
Denn die Session ID benutzt eine 128-Bit-Zahl (in hexadezimaler Darstellung) als ID. Also sind 2<sup>128</sup> ID's möglich, also ca. 3,402 * 10<sup>38</sup>, also eine Zahl mit 38 Nullen. <br>
|
||
|
<br>
|
||
|
|
||
|
Allerdings kann man nur aktive Session-ID's übernehmen, weil inaktive Sessions gelöscht werden. <br><br>
|
||
|
|
||
|
Gehen wir mal von einer Milliarde aktiver Sessions aus (was immerhin ein sechstel Weltbevölkerung ist, die <b>gleichzeitig</b> auf dem Server seien würden). Dann hat man durchschnittlich schon nach 3,4 * 10 <sup>29</sup> Versuchen eine aktive Session-ID gefunden. Wie lange braucht man dafür? Wenn man pro Sekunde wiederum genau eine Milliarde Session-IDs prüfen könnte, würde man 3,4 * 10 <sup>20</sup> Sekunden brauchen, um durchschnittlich mit Sicherheit eine aktive ID zu finden, vielleicht auch nur die Hälfte der Zeit: 1,7 * 10 <sup>20</sup> Sekunden. Also grob 5 * 10<sup>12</sup> Jahre (in Worten: 5 Billionen Jahre). Da ja mindestens 128 Bit = 32 Byte an Daten zur Übermittlung der Session-ID übertragen werden müßten, benötigte man dafür eine Datenrate von 3,2 Gigabyte pro Sekunde - das wäre immerhin schaffbar. Dummerweise ist ein HTTP-Request nicht so klein (meinstens min. ca. 1000 Byte), alleine das würde also die Anzahl der Tests pro Sekunde beschränken. <br><br>
|
||
|
|
||
|
Die Chance, dass die erste getestete Session ID richtig ist, beträgt 1 zu 3,402 * 10<sup>38</sup>. Beim Lotto hat man eine Chance von 1 zu 1,4 * 10<sup>7</sup>, man kann also sagen das ein 6er beim Lotto ca. 10<sup>31</sup> (10 Quintillionen) mal Wahrscheinlicher ist als beim ersten Raten eine gültige Session ID zu finden, bzw. es ist wahrscheinlicher, dass beim Lotto fünf mal nacheinander die gleichen Zahlen gezogen werden.
|
||
|
<br>
|
||
|
|
||
|
</div>
|
||
|
|
||
|
|
||
|
|
||
|
|
||
|
</body>
|
||
|
</html>
|